Conformidade

O NYDFS regula aproximadamente 1.500 bancos e instituições financeiras. Estes incluem US instituições, bem como muitas instituições internacionais com operações em Nova York. 

o Requisitos de segurança cibernética para empresas de serviços financeiros consiste em 22 disposições que exigem que as organizações de serviços financeiros protejam melhor os dados. As instituições financeiras devem implementar controles eficazes para impedir o acesso não autorizado a sistemas de informação ou informações não públicas por meio da avaliação de riscos, mas os meios pelos quais eles o fazem podem incluir autenticação multifator , autenticação biométrica ou autenticação baseada em risco .

Saiba mais neste blog: Requisitos de segurança cibernética do NYDFS para empresas de serviços financeiros

A Diretiva de Serviços de Pagamento da UE (EU Payments Services Directive, PSD2) contém requisitos relacionados à Autenticação Forte de Cliente (Strong Customer Authentication, SCA). As instituições financeiras devem aderir a esses requisitos até Setembro de 2019. Contudo, PSPs (fornecedores de serviços de pagamento) específicos podem se qualificar para uma extensão excepcional no contexto de pagamentos com cartão para comércio eletrônico, de acordo com um parecer recente da EBA .

Esses requisitos incluem cinco critérios de conformidade:

• Autenticação forte: A autenticação deve ser baseada em dois ou mais fatores, incluindo senhas ou PIN, tokens ou dispositivos móveis ou biometria.

• Análise de risco de transação: Requer o uso de análise de risco de transação para impedir pagamentos fraudulentos. 

• Proteção de Replicação: O PSD2 exige o uso de contramedidas dedicadas à clonagem de aplicativos móveis em aplicativos.

• Vinculação dinâmica: Para transações de pagamento, o código de autenticação deve ser vinculado dinamicamente ao valor e ao beneficiário.

• Elementos independentes: Os provedores de serviços de pagamento devem adotar medidas de segurança para mitigar o risco resultante de dispositivos móveis comprometidos.

O novo quadro de certificação de segurança cibernética da UE, originalmente proposto em 2017, foi desenvolvido para melhorar a segurança cibernética de serviços on-line e dispositivos de consumo, incluindo dispositivos IoT. Uma vez formalmente aprovado pelo Parlamento Europeu, será publicado no Jornal Oficial da UE e entrará em vigor oficialmente imediatamente. Para mais informações, leia o comunicado de imprensa oficial.

Para melhorar a resiliência contra ameaças cibernéticas, a Autoridade Monetária da Arábia Saudita (SAMA) introduziu o Estrutura de segurança cibernética SAMA em maio de 2017. Isso segue uma tendência global em que os reguladores do governo e do setor bancário de todo o mundo estão introduzindo padrões e orientações de segurança cibernética. 

Os quatro aspectos principais da estrutura incluem:

• Gerenciamento de identidade e acesso
• Canal de comunicação seguro para operações bancárias online e móveis
• Blindagem de aplicativos móveis
• Detecção e prevenção de fraudes

Saiba mais neste blog: Conformidade com o SAMA Cyber Security Framework

A Autoridade Monetária de Cingapura (MAS) emitiu Diretrizes de Gerenciamento de Risco em Tecnologia (TRM) e Diretrizes de Gerenciamento de Continuidade de Negócios (BCM).

As Diretrizes TRM fornecem orientações para segurança no desenvolvimento de software, vigilância cibernética, simulação de ataques adversos e como gerenciar os riscos cibernéticos representados pela Internet das Coisas. O TRM também inclui uma seção sobre “Segurança de serviços financeiros on-line”, que abrange o seguinte:

• Seção 14.1.7 “Os dispositivos móveis com raiz ou com jailbreak devem ser impedidos de acessar os aplicativos móveis da FI para realizar transações financeiras, pois esses dispositivos são mais suscetíveis a vulnerabilidades de malware e segurança.”

• Sec. 14.2.1 “A autenticação multifatorial deve ser implantada no login dos serviços financeiros on-line para proteger o processo de autenticação do cliente.”

• Sec. 14.2.4 "O FI pode aplicar uma abordagem baseada em riscos e implementar autenticação adaptativa ou baseada em riscos apropriada que apresenta aos clientes opções de autenticação compatíveis com o nível de risco da transação e a sensibilidade das informações". 

• Sec. 14.2.8 "Onde o token flexível é usado para autenticação do cliente, medidas apropriadas, como verificar a identidade do cliente, detectar e bloquear dispositivos raiz ou jailbroken e executar a ligação do dispositivo, devem ser implementadas para o processo de provisionamento do token flexível".

• Sec. 14.3.1 “O FI deve implementar sistemas de monitoramento ou vigilância de fraudes em tempo real para identificar e bloquear transações online suspeitas ou fraudulentas.”

Padrão de segurança de dados da indústria de cartões de pagamento

O PCI DSS 3.2 é um padrão de segurança da informação para organizações que lidam com cartões de crédito das principais marcas. Foi criado para lidar com ameaças à segurança das informações de pagamento dos clientes. Todas as entidades envolvidas no processamento de cartões de pagamento devem estar em conformidade com o PCI DSS, incluindo adquirentes, emissores, comerciantes, processadores e provedores de serviços. Também se aplica a todas as outras entidades que armazenam, processam ou transmitem dados do titular do cartão.

O requisito 8.3, que se tornou obrigatório em 2018, exige que as organizações incorporem autenticação multifator para todo o acesso que não seja do console ao ambiente de dados do titular do cartão, bem como acesso remoto à rede originário de fora da rede da entidade.

Para se adaptar às mudanças no ambiente de ameaças e ficar à frente dos cibercriminosos, RÁPIDO (Sociedade para Telecomunicações Financeiras Interbancárias Mundiais) introduziu a Estrutura de Controles de Segurança SWIFT e Programa de Segurança do Cliente (CSP). Para obter mais informações sobre como o SWIFT ajuda a garantir a segurança e a integridade dos sistemas que se conectam à rede SWIFT, consulte este blogue . 

Nos EUA, as leis federal e estadual concedem às assinaturas eletrônicas o mesmo status legal que as assinaturas manuscritas. A Lei Federal de Assinaturas Eletrônicas no Comércio Global e Nacional (ESIGN) reconhece legalmente as assinaturas e registros eletrônicos para satisfazer os requisitos legais "por escrito" das transações, incluindo divulgações, e permitir que as organizações atendam aos requisitos legais de retenção de registros somente através do uso de registros eletrônicos. ESIGN requer o consentimento de uma pessoa para conduzir negócios eletronicamente.

No nível estadual, quarenta e sete estados, o Distrito de Columbia, Porto Rico e as Ilhas Virgens adotaram a Lei Uniforme de Transações Eletrônicas (UETA). Além disso, a lei federal da ESIGN estabelece que as assinaturas eletrônicas são legalmente aplicáveis ao comércio intra-estadual e nos estados que não adotaram a UETA.

Em 20 de dezembro de 2018, A Lei da Experiência Digital Integrada do Século XXI (IDEA do Século XXI) foi assinado em lei. Ele cria padrões mínimos de funcionalidade e segurança para agências federais nos EUA, com o objetivo de melhorar as interações digitais entre cidadãos e governo. Por exemplo, exige que as agências ofereçam versões digitais de todos os serviços em papel e aceitem assinaturas eletrônicas dos cidadãos.

Saiba mais em este blog.
 

A Regra FINRA dos EUA 4512 (a) (3) (Informações da Conta do Cliente) exigia anteriormente que as corretoras obtivessem a assinatura “úmida” de cada pessoa física nomeada e autorizada a exercer discrição em uma conta antes de abrir a conta. Em 16 de abril de 2019, a Comissão de Intercâmbio de Segurança dos EUA (SEC) aprovou uma alteração proposta à Regra 4512 (a) (3), fornecendo aos membros a opção de obter uma assinatura eletrônica no lugar de uma assinatura úmida.

Saiba mais neste blogue .

Vários estados dos EUA aprovaram ou estão considerando uma legislação que capacitaria seus notários estaduais a realizar notificações on-line remotas. Isso inclui:  

• Indiana SB 372 (assinado em lei 3/13/18; em vigor em 1/7/19)
• Louisiana HCR 31 (apresentado em 4/6/18; foi aprovada na Câmara e no Senado)
• Michigan H 5811 (assinado em lei 6/28/18; em vigor em 30/03/19)
• Minnesota SF 893 (assinado em 20/5/18; a partir de 1/1/19)
• Nevada A. 413 (assinado em lei em 6/9/17; em vigor em 1/7/18)
• Ohio SB 263 (assinado em lei 12/18; em vigor em 19/09/19)
• Dakota do Norte HB 1110 (assinado em 11/03/19)
• Dakota do Sul HB 1272 (assinado em 18/03/19)
• Tennessee SB 1758 (assinado em lei em 15/5/18; em vigor em 1/7/19)
• Texas HB 1217 (assinado em lei 6/1/17; em vigor em 1/7/18)
• Kentucky SB 114 (assinado em lei, 25/3/19; vigente em 1/1/20)

Semelhante às leis da UETA nos EUA, as leis de assinatura eletrônica da província canadense concedem às assinaturas eletrônicas o mesmo status legal das assinaturas manuscritas. 

Leis de comércio eletrônico e assinatura eletrônica substancialmente uniformes foram promulgadas em todo o Canadá. Todas as províncias e territórios têm estatutos de comércio eletrônico autônomos de aplicação geral, com base em leis modelo promulgadas pela ONU e a Conferência Uniforme de Direito do Canadá (ULCC). 

Por exemplo, em Ontário, a Lei do Comércio Eletrônico, 2000 (ECA), trata do uso de documentos eletrônicos em transações comerciais. Em um relatório intitulado Assinaturas eletrônicas na lei canadense, o principal escritório de advocacia canadense Stikeman Elliott LLP declara: “Embora existam algumas variações, os estatutos provinciais de comércio eletrônico geralmente estipulam que assinaturas, documentos e originais não são inválidos ou não são aplicáveis apenas por razões de estar em formato eletrônico. "

Para saber mais, leia o Guia legal de Stikeman Elliott para assinaturas eletrônicas. 

O Regulamento de 2014 sobre identificação eletrónica e serviços de confiança para transações eletrônicas no mercado interno (eIDAS) entrou em vigor em toda a União Europeia em 1 de julho de 2016, substituindo a Diretiva 1999/93 / CE sobre assinaturas eletrônicas. Ao contrário da diretiva, o regulamento eIDAS se aplica igualmente a cada Estado-Membro da UE. 

O eIDAS facilita o reconhecimento transfronteiriço de assinaturas e identidades eletrônicas. Ele também identifica três níveis de assinatura eletrônica: a assinatura eletrônica simples, avançada e qualificada.

Aprenda sobre a aplicabilidade legal dos três níveis de assinatura eletrônica neste white paper: eIDAS e assinatura eletrônica: uma perspectiva jurídica , escrito por Lorna Brazell de Osborne Clarke LLP.

No Brasil, o uso de assinaturas eletrônicas se enquadra em duas categorias:

• Neutro em tecnologia: a lei brasileira permite uma assinatura eletrônica em casos de uso em que o tipo de assinatura não é especificado por lei. Nessa abordagem, a assinatura eletrônica deve garantir a integridade do documento assinado e a autenticidade da autoria da assinatura, mas a lei não especifica a tecnologia. A liberdade de forma na lei brasileira infere essa abordagem de tecnologia neutra.
• Específico da tecnologia: certos tipos de documentos e assinantes exigem o uso de um certificado digital emitido para o assinante pela infraestrutura do ICP-Brasil. Este é um sistema específico de tecnologia em que os certificados do ICP-Brasil fornecem uma verificação confiável de terceiros da assinatura eletrônica. O ICP-Brasil estabelece a infraestrutura de chave pública para o país, que fornece o tempo necessário e as políticas para criar o equivalente a uma Assinatura Eletrônica Qualificada (QES). 

Saiba mais neste white paper em português sobre Assinaturas eletrônicas e a lei no Brasil , escrito em colaboração com Opice Blum LLP. 

A Lei 527 de 1999 estabeleceu assinaturas eletrônicas como o equivalente a assinaturas manuscritas. Concede às assinaturas eletrônicas a mesma validade e efeito legal que uma assinatura manuscrita, desde que cumpra os requisitos de confiabilidade estabelecidos no Decreto 2364, de 2012.

Saiba mais neste white paper em espanhol sobre Assinaturas eletrônicas e a lei na Colômbia , escrito em colaboração com Erick Rincon Cardenas, sócio da Rincon Cardenas & Moreno.

Em 2000, o Congresso da República do Peru aprovou a Lei nº 27269 sobre Assinaturas e Certificados Digitais, com a seguinte redação: “O objetivo desta lei é regular o uso de assinaturas eletrônicas, concedendo-lhes a mesma validade e eficácia legais como assinaturas manuscritas ou similares que impliquem uma declaração de vontade. "

Saiba mais neste white paper em espanhol sobre Assinaturas eletrônicas e a lei no Peru , escrito em colaboração com Erick Rincon Cardenas, sócio da Rincon Cardenas & Moreno.

Em 1999, o Parlamento Australiano aprovou a Lei de Transações Eletrônicas, que foi alterada em 2011. A Lei de Transações Eletrônicas concede às assinaturas eletrônicas o mesmo status legal que as assinaturas manuscritas. 

De acordo com o governo australiano, “se uma lei da Commonwealth exigir que você forneça informações por escrito, forneça uma assinatura manuscrita, produza um documento em forma material ou registre ou retenha informações, a Lei de Transações Eletrônicas significa que você pode fazer essas coisas eletronicamente”. 

Saiba mais em nosso e-book, Assinaturas eletrônicas e a lei: revisão da legislação global . 
 

Em vigor desde 2001, a Lei de Negócios de Certificação e Assinaturas Eletrônicas do Japão reconhece a aplicabilidade legal de dois tipos de assinaturas eletrônicas usadas em todo o mundo: Assinaturas eletrônicas avançadas e Assinaturas eletrônicas qualificadas.

Saiba mais em nosso e-book, Assinaturas eletrônicas e a lei: revisão da legislação global . 

Criada em 1998, esta lei fornece a base legal para assinaturas eletrônicas e confere previsibilidade e segurança aos contratos eletrônicos. De acordo com o governo de Cingapura, “no mundo eletrônico, as assinaturas manuscritas podem ser substituídas por assinaturas digitais. Como assinaturas escritas, as assinaturas digitais podem ser usadas para estabelecer a identidade de uma parte ou para assumir compromissos legais. A Lei de Transações Eletrônicas prevê o reconhecimento de assinaturas digitais de acordo com a lei de Cingapura. ”

Saiba mais em nosso e-book, Assinaturas eletrônicas e a lei: revisão da legislação global.